L'EPFL brise un code de cryptographie
Le Laboratoire de sécurité et de cryptographie (LASEC) de l'EPFL a mis en évidence une faiblesse du protocole SSL, utilisé pour sécuriser les transactions électroniques sur Internet. Relativement faible en soi, la possibilité d'accéder à une partie du message en clair croît en fonction de la taille du texte.
L'équipe du professeur Serge Vaudenay est parvenue, en quatre mois, à mettre au point un mode d'attaque mettant en évidence une faiblesse du protocole de cryptage SSL. L'attaque permet de rétablir deux segments du texte original, à condition que le texte soit d'une taille suffisante et soit rédigé dans une langue redondante comme l'anglais.
L'attaque est efficace également contre le protocole S/MIME de cryptage des e-mails et contre tous les procédés recourant au chiffrage par block en mode CBC. Elle peut être menée à partir d'un ordinateur personnel ordinaire et nécessite moins d'une heure d'opérations pour un message d'1 gigabits.
Ce succès du LASEC démontre les faiblesses des méthodes crytpographiques utilisées dans les protocles usuels, indique Serge Vaudenay. La probabilité d'accéder à une partie du message en clair est relativement faible mais elle existe. Elle n'est pas dramatique en soi dans l'état actuel des choses, mais pourrait le devenir, ajoute le professeur
A l'occasion de la Journée annuelle de recherche du Département des systèmes de communication (DSC), le LASEC invite la presse à assister à une démonstration d'attaque contre un protocole de cryptographie le mercredi 5 juillet entre 14 h. et 17 h. Les journalistes intéressés sont priés de s'inscrire auprès du professeur Vaudenay (tél. ci-dessous).